Сообщения

Лучшие практики. Руководство по управлению уязвимостями от OWASP

  Достаточно части организации задают вопрос – как построить процесс управления уязвимостями в организации. Недавно сообщество OWASP опубликовало документ Vulnerability Management Guide ( OVMG ) – по сути руководство по построению процесса управления уязвимостями. Давайте посмотрим подробнее на наиболее интересные моменты: ·         Чтобы “съесть” большого слона и не подавиться предлагается разделить его на маленькие понятные части ·         Поэтому общий процесс управления уязвимостями рассматривается как тройной цикл из подпроцессов, каждый из которых состоит из повторяющихся задач и подзадач o    Detection (Обнаружение) §   Define/Refine scope (Определение области применения) §   Optimize Tools (Оптимизация средств анализа) §   Run Vulnerability Tests ( Запуск тестов ) §   Confirm Findings (Подтверждение результатов) o    Reporting ( Отчетность ) §   Create Asset Groups ( Классификация активов ) §   Define/Refine Metrics (Определение метрик критичности)

Запись 10-ого межблогерского вебинара про современные технологии в обучении ИБ

Изображение
Недавно у нас с Ксенией Шудровой прошел уже 10-тый юбилейный межблогерский вебинар. В этот раз гостями были Вячеслав Золотарев и Мария Сидорова и обсуждали мы с ними современные технологии и подходы в обучении ИБ. Все четыре докладчика рассказывали про разные стороны обучения ИБ, каждый исходя из своего опыта: ·         Я рассказал про современные технологии и подходы в корпоративном обучении ИБ, про попытки привлечь внимание пользователей за счет геймификации, интерактива, удобства, интересного контента, микрокурсов. Немного пересказов gartner много картинок из современных систем обучения ИБ и лучшие карточные игры ИБ, как подручный материал для тренинга. ·         Ксения Шудрова, наоборот, призывала брать пример с вузов при корпоративном обучении ИБ, совместно читать библию законодательство в первоисточниках, писать конспекты, использовать доски, учебники, методички, давать побольше самостоятельных работ и практических работ с кейсами, ну и конечно тесты с билетами. ·      

Лучшие практики. Модель угроз ИБ для 2020 от ENISA

Изображение
Недавно европейский орган European Union Agency for Cybersecurity (ENISA) выпустили документ ENISAThreat Landscape 2020 (ETL). Для случаев, когда организация не обязана использовать БДУ ФСТЭК, но ей нужна актуальная модель угроз, то данный документ может стать хорошей лучшей практикой. Давайте разберем подробнее, почему это так: ·         Актуальная. ETL – это отчет об актуальных угрозах по результатам большого исследования. Рабочая группа проанализировала всю публично доступную аналитику за последний год (более 100 ссылок), информацию об инцидентах ИБ за последний год, и провели большой опрос специалистов. Такое исследование обычная организация провести не может, поэтому любая собственная аналитика в рамках моделирования угроз будет гораздо слабее ·         Есть модель нарушителя. Для модели нарушителя отображена динамика (что более актуально именно за последний год) ·         Есть рейтинг актуальных угроз – собственно это и есть сама модель угроз (загружайте и печатайте как

Лучшие практики. Обзор изменений NIST 800-53

Изображение
Недавно  National Institute of Standards and Technology в США (NIST)  обновили свой документ  “ Security and Privacy Controls for Information Systems and Organizations ”  до версии  5. Предыдущая версия была опубликована достаточно давно – почти 6 лет назад и за это время её скачали несколько миллионов раз, в том числе разработчики приказов ФСТЭК России брали за основу набор мер из 800-53. Давайте посмотрим на интересные изменения: ·         Правила выбора мер, базовые наборы мер защиты, правила оценки соответствия, правила управления рисками были отделены от основного документа в отдельные документы: 800-53 A , 800-53 B и SP 800-37. Область применения этих документов не такая широкая как у основного документа ·         В основном документе 800-53 был оставлен только каталог мер защиты и комментарии по их применению. Сам каталог может использоваться самыми различными организациями для каких-то своих целей и внутренних требований именно как удобный, детальный каталог мер защиты.

Отключение объекта КИИ от Интернет за несоблюдение требований ФСТЭК? (UPDATE)

Изображение
15 сентября в Минюсте был зарегистрирован (26 сентября 2020 г. вступает в силу) приказ ФСТЭК Росссии  от 28.05.2020 № 75 "Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования" В отличие от предыдущих вариантов (проектов приказа), документ достаточно простой и сам не вносит дополнительных требований к защите ЗО КИИ.   Давайте немного взглянем на новый порядок жизни объекта КИИ, с учетом недавних комментариев представителя ФСТЭК России на онлайн конференции "Кибербезопасность АСУ ТП критически важных объектов". Теперь при необходимости подключения объекта КИИ к сети Интернет, необходимо до ввода в действие нового/модернизации объекта КИИ согласовать такую возможность с ФСТЭК России. Приказ устанавливает перечень сведений,

Изменения в требованиях безопасности значимых объектов критической инфраструктуры (приказ 239)

Изображение
11 сентября 2020 г. в Минюсте были зарегистрированы изменения в приказ ФСТЭКРоссии №239 "Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" Я подготовил для вас небольшой видео обзор основных изменений. Но рекомендую также и самостоятельно ознакомится с измененным документом

СКЗИ в финансовых организациях

Изображение
  Хотя в общем виде использование сертифицированных СКЗИ в явном виде в высокоуровневых документах не требуется, но именно для финансовых организаций есть достаточно большое количество новых отдельных НПА, требующих применения таких СКЗИ: ·         Указание Банка России №3889-У – Про угрозы специальным ПДн ·         Указание Банка России №4859-У – Про угрозы биометрическим ПДн (ЕБС) ·         382-П ·         672-П ·         683-П ·         684-П ·         ГОСТ 57580 ·         Требования к предоставлению информации с использованием СКЗИ o    ФНС России (440-П) o    ФТС России (390-П) o    РосФинМониторинг (655-П) o    Фонд социального страхования (562-П) ·         Требования к СКЗИ в информационной инфраструктуре ПС (ФТ-56-3/32) Требования разные. Но как правило необходимо выполнять какие-то дополнительные условия из документации на СКЗИ о которых почему-то забывают или не воспринимают серьезно. Но теперь с появлением этих требований в документах Банка Росси